[原创]riijj Crackme13 算法简析-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]riijj Crackme13 算法简析

发表于: 2007-5-12 13:41 12329

[原创]riijj Crackme13 算法简析

hawking

2007-5-12 13:41

12329

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・4

免费・7

支持

最新回复 (21)
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 2 楼 OD载入刚刚Dump出来的文件wood_dumped.exe 这同样是一个标准的C++程序OEP 但是由于先前父进程只解密了程序执行过的语句，所以这里还是有很多的CC代码。 F9直接运行会出错，根据出错提示一一加以修改就行了。 repl 00401F97,#??#,#90#,2 asm 00401E10,"jmp 00401E1E" repl 004034F4,#??#,#90#,2 asm 004034FB,"jmp 0040350B" repl 0040350F,#??#,#90#,2 asm 00401458,"jmp short 00401460" ret 终于看到注册的界面了。F7跟进Main函数看一下。 004010C0 /$ 83EC 4C sub esp, 4C 004010C3 \|. 53 push ebx 004010C4 \|. 55 push ebp 004010C5 \|. 56 push esi 004010C6 \|. 8B7424 5C mov esi, dword ptr [esp+5C] 004010CA \|. 57 push edi ....................................... 00401108 \|. 6A 65 push 65 ; /RsrcName = 101. 0040110A \|. 56 push esi ; \|hInst 0040110B \|. 894424 50 mov dword ptr [esp+50], eax ; \| 0040110F \|. C74424 54 100>mov dword ptr [esp+54], 10 ; \| 00401117 \|. 896C24 58 mov dword ptr [esp+58], ebp ; \| 0040111B \|. C74424 5C F87>mov dword ptr [esp+5C], 004070F8 ; \|dappleclass 00401123 \|. FFD7 call edi ; \LoadIconA 00401125 \|. 894424 58 mov dword ptr [esp+58], eax 00401129 \|. 8D4424 2C lea eax, dword ptr [esp+2C] 0040112D \|. 50 push eax ; /pWndClassEx 0040112E \|. FF15 AC704000 call dword ptr [<&USER32.RegisterClas>; \RegisterClassExA 00401134 \|. 8B3D B0704000 mov edi, dword ptr [<&USER32.GetSyst>; USER32.GetSystemMetrics ....................................... 00401143 \|. 99 cdq 00401144 \|. 55 push ebp ; /lParam => NULL 00401145 \|. 2BC2 sub eax, edx ; \| 00401147 \|. 56 push esi ; \|hInst 00401148 \|. 55 push ebp ; \|hMenu => NULL 00401149 \|. D1F8 sar eax, 1 ; \| 0040114B \|. 55 push ebp ; \|hParent => NULL 0040114C \|. 68 D2000000 push 0D2 ; \|Height = D2 (210.) 00401151 \|. 83E8 69 sub eax, 69 ; \| 00401154 \|. 68 2C010000 push 12C ; \|Width = 12C (300.) 00401159 \|. 50 push eax ; \|Y 0040115A \|. 8BC3 mov eax, ebx ; \| 0040115C \|. 99 cdq ; \| 0040115D \|. 2BC2 sub eax, edx ; \| 0040115F \|. D1F8 sar eax, 1 ; \| 00401161 \|. 2D 96000000 sub eax, 96 ; \| 00401166 \|. 50 push eax ; \|X 00401167 \|. 68 00008A00 push 8A0000 ; \|Style = WS_OVERLAPPED\|WS_MINIMIZEBOX\|WS_SYSMENU\|WS_BORDER 0040116C \|. 68 68804000 push 00408068 ; \|WindowName = "Riijj - Crackme 13 20070510" 00401171 \|. 68 F8704000 push 004070F8 ; \|dappleclass 00401176 \|. 55 push ebp ; \|ExtStyle => 0 00401177 \|. FF15 B4704000 call dword ptr [<&USER32.CreateWindow>; \CreateWindowExA 0040117D \|. 55 push ebp ; /lParam => 0 0040117E \|. 68 70104000 push 00401070 ; \|pDlgProc = wood_Dum.00401070 注意一下这里 00401183 \|. 50 push eax ; \|hOwner 00401184 \|. 6A 65 push 65 ; \|pTemplate = 65 00401186 \|. 56 push esi ; \|hInst 00401187 \|. A3 30A84000 mov dword ptr [40A830], eax ; \| 0040118C \|. FF15 B8704000 call dword ptr [<&USER32.CreateDialog>; \CreateDialogParamA 00401192 \|. 8B0D 30A84000 mov ecx, dword ptr [40A830] ....................................... 004011F6 \|> /8B0D 34A84000 /mov ecx, dword ptr [40A834] 004011FC \|. \|8D4424 10 \|lea eax, dword ptr [esp+10] 00401200 \|. \|50 \|push eax ; /pMsg 00401201 \|. \|51 \|push ecx ; \|hWnd => 0016076A 00401202 \|. \|FF15 D4704000 \|call dword ptr [<&USER32.IsDialogMes>; \IsDialogMessageA 00401208 \|. \|85C0 \|test eax, eax 0040120A \|. \|75 0E \|jnz short 0040121A 0040120C \|. \|8D5424 10 \|lea edx, dword ptr [esp+10] 00401210 \|. \|52 \|push edx 00401211 \|. \|FFD7 \|call edi 00401213 \|. \|8D4424 10 \|lea eax, dword ptr [esp+10] 00401217 \|. \|50 \|push eax 00401218 \|. \|FFD3 \|call ebx 0040121A \|> \|55 \|push ebp 0040121B \|. \|55 \|push ebp 0040121C \|. \|8D4C24 18 \|lea ecx, dword ptr [esp+18] 00401220 \|. \|55 \|push ebp 00401221 \|. \|51 \|push ecx 00401222 \|. \|FFD6 \|call esi 00401224 \|. \|85C0 \|test eax, eax 00401226 \|.^\75 CE \jnz short 004011F6 00401228 \|> CC int3 00401229 \|. CC int3 00401070 . 8B4424 08 mov eax, dword ptr [esp+8] 00401074 . 3D 10010000 cmp eax, 110 00401079 . 75 1C jnz short 00401097 0040107B . 8B4424 04 mov eax, dword ptr [esp+4] 0040107F . 68 E8030000 push 3E8 ; /ControlID = 3E8 (1000.) 00401084 . 50 push eax ; \|hWnd 00401085 . FF15 D8704000 call dword ptr [<&USER32.GetDlgItem>] ; \GetDlgItem 0040108B . 50 push eax ; /hWnd 0040108C . FF15 DC704000 call dword ptr [<&USER32.SetFocus>] ; \SetFocus 00401092 . 33C0 xor eax, eax 00401094 . C2 1000 retn 10 00401097 > 3D 11010000 cmp eax, 111 ;WM_COMMAND事件 0040109C . 75 0E jnz short 004010AC 0040109E . 66:817C24 0C >cmp word ptr [esp+C], 3EA ;按钮ID 004010A5 . 75 05 jnz short 004010AC 004010A7 . E8 94010000 call 00401240 004010AC > 33C0 xor eax, eax 004010AE . C2 1000 retn 10 我们直接在00401240处F2下断点，然后F9运行程序，输入用户名及Key并点击注册按钮后就会停在这里了。 2007-5-12 14:00 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 3 楼 00401240 \|$ 83EC 74 sub esp, 74 00401243 \|. 53 push ebx 00401244 \|. 56 push esi 00401245 \|. 57 push edi 00401246 \|. B9 0A000000 mov ecx, 0A 0040124B \|. 33C0 xor eax, eax 0040124D \|. 8D7C24 55 lea edi, dword ptr [esp+55] 00401251 \|. C64424 54 00 mov byte ptr [esp+54], 0 00401256 \|. 8B35 A0704000 mov esi, dword ptr [<&USER32.GetDlgI>; USER32.GetDlgItemTextA 0040125C \|. F3:AB rep stos dword ptr es:[edi] 0040125E \|. B9 0A000000 mov ecx, 0A 00401263 \|. 8D7C24 29 lea edi, dword ptr [esp+29] 00401267 \|. 884424 28 mov byte ptr [esp+28], al 0040126B \|. 6A 15 push 15 ; /Count = 15 (21.) 用户名最大有效长度21个字符 0040126D \|. F3:AB rep stos dword ptr es:[edi] ; \| 0040126F \|. 8B0D 34A84000 mov ecx, dword ptr [40A834] ; \| 00401275 \|. 8D4424 14 lea eax, dword ptr [esp+14] ; \| 00401279 \|. 50 push eax ; \|Buffer 0040127A \|. 68 E8030000 push 3E8 ; \|ControlID = 3E8 (1000.) 0040127F \|. 51 push ecx ; \|hWnd => 0016076A 00401280 \|. FFD6 call esi ; \GetDlgItemTextA 00401282 \|. A1 34A84000 mov eax, dword ptr [40A834] 00401287 \|. 8D5424 54 lea edx, dword ptr [esp+54] 0040128B \|. 6A 29 push 29 ; /Count = 29 (41.) key最大有效长度40个字符 0040128D \|. 52 push edx ; \|Buffer 0040128E \|. 68 E9030000 push 3E9 ; \|ControlID = 3E9 (1001.) 00401293 \|. 50 push eax ; \|hWnd => 0016076A 00401294 \|. FFD6 call esi ; \GetDlgItemTextA 00401296 \|. 8D7C24 10 lea edi, dword ptr [esp+10] 0040129A \|. 83C9 FF or ecx, FFFFFFFF 0040129D \|. 33C0 xor eax, eax 0040129F \|. F2:AE repne scas byte ptr es:[edi] 004012A1 \|. F7D1 not ecx 004012A3 \|. 49 dec ecx 004012A4 \|. 8BD9 mov ebx, ecx 004012A6 \|. 83FB 03 cmp ebx, 3 ; 用户名长度不得小于3 004012A9 \|. 7C 74 jl short 0040131F 004012AB \|. 55 push ebp 004012AC \|. 33ED xor ebp, ebp ; i=0 004012AE \|. 896C24 10 mov dword ptr [esp+10], > 004012B2 \|. 33F6 xor esi, esi ; j=0 004012B4 \|> DB4424 10 /fild dword ptr [esp+10] 004012B8 \|. 8BC5 \|mov eax, ebp 004012BA \|. B9 28000000 \|mov ecx, 28 004012BF \|. 99 \|cdq 004012C0 \|. D9FE \|fsin ; sin(i) 004012C2 \|. F7F9 \|idiv ecx 004012C4 \|. 8D7C14 2C \|lea edi, dword ptr [esp>; result[i%0x28] 004012C8 \|. DC0D 08714000 \|fmul qword ptr [407108] ; sin(i) * (-100) 004012CE \|. E8 AD000000 \|call 00401380 ; 将结果转换成整数t 004012D3 \|. 8A0F \|mov cl, byte ptr [edi] 004012D5 \|. 2AC8 \|sub cl, al ; result[i%0x28] - t 004012D7 \|. 8BC6 \|mov eax, esi 004012D9 \|. 99 \|cdq 004012DA \|. F7FB \|idiv ebx ; j % len(name) 004012DC \|. 83C6 03 \|add esi, 3 ; j = j + 3 004012DF \|. 8A4414 14 \|mov al, byte ptr [esp+e>; name[j%len] 004012E3 \|. 32C8 \|xor cl, al ; result[i%0x28] = (result[i%0x28] - t ) ^ name[j%len] 004012E5 \|. 45 \|inc ebp ; i++ 004012E6 \|. 81FE 2C010000 \|cmp esi, 12C ; j < 0x12C ? 004012EC \|. 880F \|mov byte ptr [edi], cl ; result[i%0x28] = (result[i%0x28] - t ) ^ name[j%len] 004012EE \|. 896C24 10 \|mov dword ptr [esp+10],> 004012F2 \|.^ 7C C0 \jl short 004012B4 004012F4 \|. 33C9 xor ecx, ecx ; i = 0 004012F6 \|. 5D pop ebp 004012F7 \|> 0FBE440C 28 /movsx eax, byte ptr [esp+>; result[i] 004012FC \|. 99 \|cdq 004012FD \|. 33C2 \|xor eax, edx 004012FF \|. BE 1A000000 \|mov esi, 1A 00401304 \|. 2BC2 \|sub eax, edx 00401306 \|. 99 \|cdq 00401307 \|. F7FE \|idiv esi ; result[i] % 0x1A 00401309 \|. 8A440C 54 \|mov al, byte ptr [esp+e>; key[i] 0040130D \|. 80C2 61 \|add dl, 61 ; result[i] % 0x1A + 0x61 00401310 \|. 3AD0 \|cmp dl, al 00401312 \|. 75 0B \|jnz short 0040131F ; key[i] == result[i] % 0x1A + 0x61 ? 00401314 \|. 41 \|inc ecx 00401315 \|. 83F9 28 \|cmp ecx, 28 ; 由此可知key一共40(0x28)个字符 00401318 \|.^ 7C DD \jl short 004012F7 0040131A \|. E8 31FDFFFF call 00401050 ; 弹出成功对话框 0040131F \|> 5F pop edi 00401320 \|. 5E pop esi 00401321 \|. 5B pop ebx 00401322 \|. 83C4 74 add esp, 74 00401325 \. C3 retn C#版本代码（注册机） byte[] result = new byte[0x28]; byte[] name = System.Text.Encoding.Default.GetBytes(tbName.Text); int len = name.Length; if ( len < 3 ) return; for ( int i = 0 , j = 0 ; j < 0x12C ; i++ , j = j + 3 ) { byte k = (byte)(Math.Sin(i) * (-100)); result[i%0x28] = (byte)((result[i%0x28]-k) ^ name[j%len]); } for ( int i = 0 ; i < 0x28 ; i++ ) { result[i] = (byte)(((result[i] >= 0x80 ? (0x100 - result[i]) : result[i]) % 0x1A) + 0x61) ; } tbKey.Text = System.Text.Encoding.Default.GetString(result); 总结: 其实这个crackme算法简单，难度不大。主要就是父进程通过DEBUG_PROCESS方式创建子进程，造成了我们无法对子进程直接进行Ring3级的调试。想办法在子进程代码解密之后Dump出来分析，这个Crackme就没有什么难度了。 riijj还有一个Crackme4 也是自调试的Crackme，感觉难度比这个要大，而且更有意思。有兴趣的朋友可以看看(http://bbs.pediy.com/showthread.php?t=10799)。 2007-5-12 14:36 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼分析的精彩，等riijj回来评介.:) 2007-5-12 14:46 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼 riijj的cm一个比一个有创意期待riijj的Protector.exe 2007-5-12 14:58 0
acafeel 雪币： 333 活跃值： (116) 能力值： ( LV9，RANK：570 ) 在线值：发帖 31 回帖 219 粉丝 1 关注私信	acafeel 14 6 楼 hawking 太气人了，太气人了，我才找到一点点头绪，一上论坛，你都把注册机写出来了，小小的'鄙视'你一下，嘿嘿。。。希望看懂你的大作之前，riijj版的v14不要出来呀！ 2007-5-12 15:41 0
newmovie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	newmovie 7 楼请教下hawking：　　为什么解密出来后的程序不能正常的运行？而需要处理下？按理说存在ＣＣ的地方程序并没有经过啊？先谢谢了 2007-5-12 19:30 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 8 楼下次不敢了因为子进程并没有解密完全，只是运行过的代码被解密了。而直接运行dump出来的程序和其作为子进程被运行时，某些跳转时的条件有不一样，所以需要处理下。不知道这样理解对不对？如果能将完整的子进程dump出来就完美了 2007-5-12 19:45 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 9 楼精彩,学习! 2007-5-12 22:37 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 10 楼 [QUOTE=;]...[/QUOTE] 不懂“子进程”。。。。还是支持下。。。。。。。 2007-5-12 22:38 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 11 楼解释十分清楚，谢谢 hawking兄 ! 这个 crackme 的第二次 WriteProcessMemory，的确是使程序很慢，它的作用就是使程序每一次也需要解密。当然，我也知道它会轻易被大家 nop 了你说得对啊， crackme 4 是比这个复杂，它的难度也是源于它复杂 ! 是很麻烦的东西 ~ 呵呵~~ 我在编写时，想过好不好在 core process内，加入一些检查自己某些地方是不是 0xCC 的检测，如果不是 0xCC 便自杀。但想过后，还是觉得用处不大，不弄了算法中有一个 sin 的数学function，是因为我无聊，加入去的，没有甚么意思 2007-5-12 23:36 0
newmovie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	newmovie 12 楼 hawking 兄: 00401314 \|. 41 \|inc ecx 00401315 \|. 83F9 28 \|cmp ecx, 28 ; 由此可知key一共40(0x28)个字符 00401318 \|.^ 7C DD \jl short 004012F7 0040131A \|. E8 31FDFFFF call 00401050 ; 弹出成功对话框 0040131F \|> 5F pop edi 00401320 \|. 5E pop esi 00401321 \|. 5B pop ebx 00401322 \|. 83C4 74 add esp, 74 00401325 \. C3 retn 上面这段我DUMP出来的程序里没有,因为后面是第一位KEY正确后和注册成功后的代码.请问你是通过得到KEY后才DUMP出来的这段或者是你用的其它方法,请指教,万分感谢!! 2007-5-13 21:40 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 13 楼 newmovie兄弟客气了，大家一起学习进步其实我也是先分析算法，然后找了个能运行到下面代码的临时key然后再重新dump出来的。 2007-5-13 21:51 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 14 楼上面我们提到了用工具直接dump出子进程，但是这个方案有个局限性，那就是只有被运行过的代码作了解密，没有运行到的代码依然是CC。我们可以从CrackMe的资源文件中提取出两个Bin文件，分别保存为bin.exe和bin.dat 。 bin.exe和被程序复制到临时文件夹中的wood.exe是一样的，代码段全部都是CC，没有解密。 bin.dat并不是一个PE文件。 00000000h: 00 10 40 00 04 00 00 00 8B 4C 24 08 00 00 00 00 ; ..@.....婰$..... 00000010h: 00 00 00 00 00 00 00 00 85 3D E6 77 04 10 40 00 ; ........?鎤..@. 00000020h: 02 00 00 00 8B C1 30 36 00 00 00 00 00 00 00 00 ; ....嬃06........ 00000030h: 00 00 00 00 85 3D E6 77 06 10 40 00 03 00 00 00 ; ....?鎤..@..... 00000040h: 83 E8 02 39 00 00 00 00 00 00 00 00 00 00 00 00 ; 冭.9............ 00000050h: 85 3D E6 77 09 10 40 00 02 00 00 00 74 2E 30 42 ; ?鎤[EMAIL="..@.....t.0B"]..@.....t.0B[/EMAIL] 00000060h: 00 00 00 00 00 00 00 00 00 00 00 00 85 3D E6 77 ; ............?鎤可以看出bin.dat中的数据都是按28个字节一组进行组织的，其中蓝色的部分代表代码在wood.exe中的地址，红色部分代表代码的长度，紫色部分代表代码的字节数据，最后绿色的部分应该是一个结束标志。 struct CodeInfo { uint Address ; uint Length ; byte Code[16] ; uint EndFlag ; }; 有了这个数据结构和bin.dat中的数据，我们就可以自己动手写个小程序来完美解密wood.exe了。当然对于这个Crackme来说有点多此一举。感兴趣riijj是怎样生成这个bin.dat文件，主要是怎样判断每条语句长度的。上传的附件： wood.rar （16.42kb，7次下载） 2007-5-15 20:06 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 15 楼请教个关于imul的问题 B60B60B7 * 5 = 38E38E393 可是imul之后 EAX：8E38E393 EDX：FFFFFFFE 而 7FFFFFFF * 6 = 2FFFFFFFA imul之后 EAX：FFFFFFFA EDX：00000002 imul之后EDX值有什么规律没有？我看了关于imul指令的介绍依然没弄明白。 2007-5-15 20:47 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 16 楼数据结构也被解开了 hawking 兄很有耐心，分析很仔细 wood 是一块被挖空了的木头，现在你把那些也填回了，真正完美破解。这个 cm 的制作方法有点麻烦，在写这个 cm 前，先要写一些工具，再使用 OD 和工具一起补助，把 wood制造出来，也把核心弄成这个 structure样子 cm13 的引导程序，懂得把核心读取，在内存建立好一个指令索引。当引导程序执行 wood， wood 便产生密集的中断，引导程序便找出相应的指令，放到中断位置。 2007-5-16 08:30 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 17 楼找了一篇 Intel software manual --- Performs a signed multiplication of two operands. This instruction has three forms, depending on the number of operands. • One-operand form — This form is identical to that used by the MUL instruction. Here, the source operand (in a general-purpose register or memory location) is multiplied by the value in the AL, AX, EAX, or RAX register (depending on the operand size) and the product is stored in the AX, DX:AX, EDX:EAX, or RDX:RAX registers, respectively. • Two-operand form — With this form the destination operand (the first operand) is multiplied by the source operand (second operand). The destination operand is a general-purpose register and the source operand is an immediate value, a general-purpose register, or a memory location. The product is then stored in the destination operand location. • Three-operand form — This form requires a destination operand (the first operand) and two source operands (the second and the third operands). Here, the first source operand (which can be a general-purpose register or a memory location) is multiplied by the second source operand (an immediate value). The product is then stored in the destination operand (a general-purpose register). When an immediate value is used as an operand, it is sign-extended to the length of the destination operand format. The CF and OF flags are set when significant bit (including the sign bit) are carried into the upper half of the result. The CF and OF flags are cleared when the result (including the sign bit) fits exactly in the lower half of the result. The three forms of the IMUL instruction are similar in that the length of the product is calculated to twice the length of the operands. With the one-operand form, the product is stored exactly in the destination. With the two- and three- operand forms, however, the result is truncated to the length of the destination before it is stored in the destination register. Because of this truncation, the CF or OF flag should be tested to ensure that no significant bits are lost. 2007-5-16 09:31 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 18 楼非常经典的分析，学习了！ 2007-5-16 11:03 0
Wadic 雪币： 242 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	Wadic 19 楼太感谢楼主了!!! 2007-5-18 15:39 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 20 楼看不明白，以后再学习！！ 2007-5-26 09:33 0
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 21 楼只有看了白看的份，太高深了 2007-5-26 09:41 0
ahublue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 0 关注私信	ahublue 22 楼好多要学的,新手真的是有些害怕,还是顶下以后多练习练习! 顶 2007-5-26 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hawking

发帖

519

回帖

550

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 2 楼 OD载入刚刚Dump出来的文件wood_dumped.exe 这同样是一个标准的C++程序OEP 但是由于先前父进程只解密了程序执行过的语句，所以这里还是有很多的CC代码。 F9直接运行会出错，根据出错提示一一加以修改就行了。 repl 00401F97,#??#,#90#,2 asm 00401E10,"jmp 00401E1E" repl 004034F4,#??#,#90#,2 asm 004034FB,"jmp 0040350B" repl 0040350F,#??#,#90#,2 asm 00401458,"jmp short 00401460" ret 终于看到注册的界面了。F7跟进Main函数看一下。 004010C0 /$ 83EC 4C sub esp, 4C 004010C3 \|. 53 push ebx 004010C4 \|. 55 push ebp 004010C5 \|. 56 push esi 004010C6 \|. 8B7424 5C mov esi, dword ptr [esp+5C] 004010CA \|. 57 push edi ....................................... 00401108 \|. 6A 65 push 65 ; /RsrcName = 101. 0040110A \|. 56 push esi ; \|hInst 0040110B \|. 894424 50 mov dword ptr [esp+50], eax ; \| 0040110F \|. C74424 54 100>mov dword ptr [esp+54], 10 ; \| 00401117 \|. 896C24 58 mov dword ptr [esp+58], ebp ; \| 0040111B \|. C74424 5C F87>mov dword ptr [esp+5C], 004070F8 ; \|dappleclass 00401123 \|. FFD7 call edi ; \LoadIconA 00401125 \|. 894424 58 mov dword ptr [esp+58], eax 00401129 \|. 8D4424 2C lea eax, dword ptr [esp+2C] 0040112D \|. 50 push eax ; /pWndClassEx 0040112E \|. FF15 AC704000 call dword ptr [<&USER32.RegisterClas>; \RegisterClassExA 00401134 \|. 8B3D B0704000 mov edi, dword ptr [<&USER32.GetSyst>; USER32.GetSystemMetrics ....................................... 00401143 \|. 99 cdq 00401144 \|. 55 push ebp ; /lParam => NULL 00401145 \|. 2BC2 sub eax, edx ; \| 00401147 \|. 56 push esi ; \|hInst 00401148 \|. 55 push ebp ; \|hMenu => NULL 00401149 \|. D1F8 sar eax, 1 ; \| 0040114B \|. 55 push ebp ; \|hParent => NULL 0040114C \|. 68 D2000000 push 0D2 ; \|Height = D2 (210.) 00401151 \|. 83E8 69 sub eax, 69 ; \| 00401154 \|. 68 2C010000 push 12C ; \|Width = 12C (300.) 00401159 \|. 50 push eax ; \|Y 0040115A \|. 8BC3 mov eax, ebx ; \| 0040115C \|. 99 cdq ; \| 0040115D \|. 2BC2 sub eax, edx ; \| 0040115F \|. D1F8 sar eax, 1 ; \| 00401161 \|. 2D 96000000 sub eax, 96 ; \| 00401166 \|. 50 push eax ; \|X 00401167 \|. 68 00008A00 push 8A0000 ; \|Style = WS_OVERLAPPED\|WS_MINIMIZEBOX\|WS_SYSMENU\|WS_BORDER 0040116C \|. 68 68804000 push 00408068 ; \|WindowName = "Riijj - Crackme 13 20070510" 00401171 \|. 68 F8704000 push 004070F8 ; \|dappleclass 00401176 \|. 55 push ebp ; \|ExtStyle => 0 00401177 \|. FF15 B4704000 call dword ptr [<&USER32.CreateWindow>; \CreateWindowExA 0040117D \|. 55 push ebp ; /lParam => 0 0040117E \|. 68 70104000 push 00401070 ; \|pDlgProc = wood_Dum.00401070 注意一下这里 00401183 \|. 50 push eax ; \|hOwner 00401184 \|. 6A 65 push 65 ; \|pTemplate = 65 00401186 \|. 56 push esi ; \|hInst 00401187 \|. A3 30A84000 mov dword ptr [40A830], eax ; \| 0040118C \|. FF15 B8704000 call dword ptr [<&USER32.CreateDialog>; \CreateDialogParamA 00401192 \|. 8B0D 30A84000 mov ecx, dword ptr [40A830] ....................................... 004011F6 \|> /8B0D 34A84000 /mov ecx, dword ptr [40A834] 004011FC \|. \|8D4424 10 \|lea eax, dword ptr [esp+10] 00401200 \|. \|50 \|push eax ; /pMsg 00401201 \|. \|51 \|push ecx ; \|hWnd => 0016076A 00401202 \|. \|FF15 D4704000 \|call dword ptr [<&USER32.IsDialogMes>; \IsDialogMessageA 00401208 \|. \|85C0 \|test eax, eax 0040120A \|. \|75 0E \|jnz short 0040121A 0040120C \|. \|8D5424 10 \|lea edx, dword ptr [esp+10] 00401210 \|. \|52 \|push edx 00401211 \|. \|FFD7 \|call edi 00401213 \|. \|8D4424 10 \|lea eax, dword ptr [esp+10] 00401217 \|. \|50 \|push eax 00401218 \|. \|FFD3 \|call ebx 0040121A \|> \|55 \|push ebp 0040121B \|. \|55 \|push ebp 0040121C \|. \|8D4C24 18 \|lea ecx, dword ptr [esp+18] 00401220 \|. \|55 \|push ebp 00401221 \|. \|51 \|push ecx 00401222 \|. \|FFD6 \|call esi 00401224 \|. \|85C0 \|test eax, eax 00401226 \|.^\75 CE \jnz short 004011F6 00401228 \|> CC int3 00401229 \|. CC int3 00401070 . 8B4424 08 mov eax, dword ptr [esp+8] 00401074 . 3D 10010000 cmp eax, 110 00401079 . 75 1C jnz short 00401097 0040107B . 8B4424 04 mov eax, dword ptr [esp+4] 0040107F . 68 E8030000 push 3E8 ; /ControlID = 3E8 (1000.) 00401084 . 50 push eax ; \|hWnd 00401085 . FF15 D8704000 call dword ptr [<&USER32.GetDlgItem>] ; \GetDlgItem 0040108B . 50 push eax ; /hWnd 0040108C . FF15 DC704000 call dword ptr [<&USER32.SetFocus>] ; \SetFocus 00401092 . 33C0 xor eax, eax 00401094 . C2 1000 retn 10 00401097 > 3D 11010000 cmp eax, 111 ;WM_COMMAND事件 0040109C . 75 0E jnz short 004010AC 0040109E . 66:817C24 0C >cmp word ptr [esp+C], 3EA ;按钮ID 004010A5 . 75 05 jnz short 004010AC 004010A7 . E8 94010000 call 00401240 004010AC > 33C0 xor eax, eax 004010AE . C2 1000 retn 10 我们直接在00401240处F2下断点，然后F9运行程序，输入用户名及Key并点击注册按钮后就会停在这里了。 2007-5-12 14:00 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 3 楼 00401240 \|$ 83EC 74 sub esp, 74 00401243 \|. 53 push ebx 00401244 \|. 56 push esi 00401245 \|. 57 push edi 00401246 \|. B9 0A000000 mov ecx, 0A 0040124B \|. 33C0 xor eax, eax 0040124D \|. 8D7C24 55 lea edi, dword ptr [esp+55] 00401251 \|. C64424 54 00 mov byte ptr [esp+54], 0 00401256 \|. 8B35 A0704000 mov esi, dword ptr [<&USER32.GetDlgI>; USER32.GetDlgItemTextA 0040125C \|. F3:AB rep stos dword ptr es:[edi] 0040125E \|. B9 0A000000 mov ecx, 0A 00401263 \|. 8D7C24 29 lea edi, dword ptr [esp+29] 00401267 \|. 884424 28 mov byte ptr [esp+28], al 0040126B \|. 6A 15 push 15 ; /Count = 15 (21.) 用户名最大有效长度21个字符 0040126D \|. F3:AB rep stos dword ptr es:[edi] ; \| 0040126F \|. 8B0D 34A84000 mov ecx, dword ptr [40A834] ; \| 00401275 \|. 8D4424 14 lea eax, dword ptr [esp+14] ; \| 00401279 \|. 50 push eax ; \|Buffer 0040127A \|. 68 E8030000 push 3E8 ; \|ControlID = 3E8 (1000.) 0040127F \|. 51 push ecx ; \|hWnd => 0016076A 00401280 \|. FFD6 call esi ; \GetDlgItemTextA 00401282 \|. A1 34A84000 mov eax, dword ptr [40A834] 00401287 \|. 8D5424 54 lea edx, dword ptr [esp+54] 0040128B \|. 6A 29 push 29 ; /Count = 29 (41.) key最大有效长度40个字符 0040128D \|. 52 push edx ; \|Buffer 0040128E \|. 68 E9030000 push 3E9 ; \|ControlID = 3E9 (1001.) 00401293 \|. 50 push eax ; \|hWnd => 0016076A 00401294 \|. FFD6 call esi ; \GetDlgItemTextA 00401296 \|. 8D7C24 10 lea edi, dword ptr [esp+10] 0040129A \|. 83C9 FF or ecx, FFFFFFFF 0040129D \|. 33C0 xor eax, eax 0040129F \|. F2:AE repne scas byte ptr es:[edi] 004012A1 \|. F7D1 not ecx 004012A3 \|. 49 dec ecx 004012A4 \|. 8BD9 mov ebx, ecx 004012A6 \|. 83FB 03 cmp ebx, 3 ; 用户名长度不得小于3 004012A9 \|. 7C 74 jl short 0040131F 004012AB \|. 55 push ebp 004012AC \|. 33ED xor ebp, ebp ; i=0 004012AE \|. 896C24 10 mov dword ptr [esp+10], > 004012B2 \|. 33F6 xor esi, esi ; j=0 004012B4 \|> DB4424 10 /fild dword ptr [esp+10] 004012B8 \|. 8BC5 \|mov eax, ebp 004012BA \|. B9 28000000 \|mov ecx, 28 004012BF \|. 99 \|cdq 004012C0 \|. D9FE \|fsin ; sin(i) 004012C2 \|. F7F9 \|idiv ecx 004012C4 \|. 8D7C14 2C \|lea edi, dword ptr [esp>; result[i%0x28] 004012C8 \|. DC0D 08714000 \|fmul qword ptr [407108] ; sin(i) * (-100) 004012CE \|. E8 AD000000 \|call 00401380 ; 将结果转换成整数t 004012D3 \|. 8A0F \|mov cl, byte ptr [edi] 004012D5 \|. 2AC8 \|sub cl, al ; result[i%0x28] - t 004012D7 \|. 8BC6 \|mov eax, esi 004012D9 \|. 99 \|cdq 004012DA \|. F7FB \|idiv ebx ; j % len(name) 004012DC \|. 83C6 03 \|add esi, 3 ; j = j + 3 004012DF \|. 8A4414 14 \|mov al, byte ptr [esp+e>; name[j%len] 004012E3 \|. 32C8 \|xor cl, al ; result[i%0x28] = (result[i%0x28] - t ) ^ name[j%len] 004012E5 \|. 45 \|inc ebp ; i++ 004012E6 \|. 81FE 2C010000 \|cmp esi, 12C ; j < 0x12C ? 004012EC \|. 880F \|mov byte ptr [edi], cl ; result[i%0x28] = (result[i%0x28] - t ) ^ name[j%len] 004012EE \|. 896C24 10 \|mov dword ptr [esp+10],> 004012F2 \|.^ 7C C0 \jl short 004012B4 004012F4 \|. 33C9 xor ecx, ecx ; i = 0 004012F6 \|. 5D pop ebp 004012F7 \|> 0FBE440C 28 /movsx eax, byte ptr [esp+>; result[i] 004012FC \|. 99 \|cdq 004012FD \|. 33C2 \|xor eax, edx 004012FF \|. BE 1A000000 \|mov esi, 1A 00401304 \|. 2BC2 \|sub eax, edx 00401306 \|. 99 \|cdq 00401307 \|. F7FE \|idiv esi ; result[i] % 0x1A 00401309 \|. 8A440C 54 \|mov al, byte ptr [esp+e>; key[i] 0040130D \|. 80C2 61 \|add dl, 61 ; result[i] % 0x1A + 0x61 00401310 \|. 3AD0 \|cmp dl, al 00401312 \|. 75 0B \|jnz short 0040131F ; key[i] == result[i] % 0x1A + 0x61 ? 00401314 \|. 41 \|inc ecx 00401315 \|. 83F9 28 \|cmp ecx, 28 ; 由此可知key一共40(0x28)个字符 00401318 \|.^ 7C DD \jl short 004012F7 0040131A \|. E8 31FDFFFF call 00401050 ; 弹出成功对话框 0040131F \|> 5F pop edi 00401320 \|. 5E pop esi 00401321 \|. 5B pop ebx 00401322 \|. 83C4 74 add esp, 74 00401325 \. C3 retn C#版本代码（注册机） byte[] result = new byte[0x28]; byte[] name = System.Text.Encoding.Default.GetBytes(tbName.Text); int len = name.Length; if ( len < 3 ) return; for ( int i = 0 , j = 0 ; j < 0x12C ; i++ , j = j + 3 ) { byte k = (byte)(Math.Sin(i) * (-100)); result[i%0x28] = (byte)((result[i%0x28]-k) ^ name[j%len]); } for ( int i = 0 ; i < 0x28 ; i++ ) { result[i] = (byte)(((result[i] >= 0x80 ? (0x100 - result[i]) : result[i]) % 0x1A) + 0x61) ; } tbKey.Text = System.Text.Encoding.Default.GetString(result); 总结: 其实这个crackme算法简单，难度不大。主要就是父进程通过DEBUG_PROCESS方式创建子进程，造成了我们无法对子进程直接进行Ring3级的调试。想办法在子进程代码解密之后Dump出来分析，这个Crackme就没有什么难度了。 riijj还有一个Crackme4 也是自调试的Crackme，感觉难度比这个要大，而且更有意思。有兴趣的朋友可以看看(http://bbs.pediy.com/showthread.php?t=10799)。 2007-5-12 14:36 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼分析的精彩，等riijj回来评介.:) 2007-5-12 14:46 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼 riijj的cm一个比一个有创意期待riijj的Protector.exe 2007-5-12 14:58 0
acafeel 雪币： 333 活跃值： (116) 能力值： ( LV9，RANK：570 ) 在线值：发帖 31 回帖 219 粉丝 1 关注私信	acafeel 14 6 楼 hawking 太气人了，太气人了，我才找到一点点头绪，一上论坛，你都把注册机写出来了，小小的'鄙视'你一下，嘿嘿。。。希望看懂你的大作之前，riijj版的v14不要出来呀！ 2007-5-12 15:41 0
newmovie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	newmovie 7 楼请教下hawking：　　为什么解密出来后的程序不能正常的运行？而需要处理下？按理说存在ＣＣ的地方程序并没有经过啊？先谢谢了 2007-5-12 19:30 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 8 楼下次不敢了因为子进程并没有解密完全，只是运行过的代码被解密了。而直接运行dump出来的程序和其作为子进程被运行时，某些跳转时的条件有不一样，所以需要处理下。不知道这样理解对不对？如果能将完整的子进程dump出来就完美了 2007-5-12 19:45 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 9 楼精彩,学习! 2007-5-12 22:37 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 10 楼 [QUOTE=;]...[/QUOTE] 不懂“子进程”。。。。还是支持下。。。。。。。 2007-5-12 22:38 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 11 楼解释十分清楚，谢谢 hawking兄 ! 这个 crackme 的第二次 WriteProcessMemory，的确是使程序很慢，它的作用就是使程序每一次也需要解密。当然，我也知道它会轻易被大家 nop 了你说得对啊， crackme 4 是比这个复杂，它的难度也是源于它复杂 ! 是很麻烦的东西 ~ 呵呵~~ 我在编写时，想过好不好在 core process内，加入一些检查自己某些地方是不是 0xCC 的检测，如果不是 0xCC 便自杀。但想过后，还是觉得用处不大，不弄了算法中有一个 sin 的数学function，是因为我无聊，加入去的，没有甚么意思 2007-5-12 23:36 0
newmovie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	newmovie 12 楼 hawking 兄: 00401314 \|. 41 \|inc ecx 00401315 \|. 83F9 28 \|cmp ecx, 28 ; 由此可知key一共40(0x28)个字符 00401318 \|.^ 7C DD \jl short 004012F7 0040131A \|. E8 31FDFFFF call 00401050 ; 弹出成功对话框 0040131F \|> 5F pop edi 00401320 \|. 5E pop esi 00401321 \|. 5B pop ebx 00401322 \|. 83C4 74 add esp, 74 00401325 \. C3 retn 上面这段我DUMP出来的程序里没有,因为后面是第一位KEY正确后和注册成功后的代码.请问你是通过得到KEY后才DUMP出来的这段或者是你用的其它方法,请指教,万分感谢!! 2007-5-13 21:40 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 13 楼 newmovie兄弟客气了，大家一起学习进步其实我也是先分析算法，然后找了个能运行到下面代码的临时key然后再重新dump出来的。 2007-5-13 21:51 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 14 楼上面我们提到了用工具直接dump出子进程，但是这个方案有个局限性，那就是只有被运行过的代码作了解密，没有运行到的代码依然是CC。我们可以从CrackMe的资源文件中提取出两个Bin文件，分别保存为bin.exe和bin.dat 。 bin.exe和被程序复制到临时文件夹中的wood.exe是一样的，代码段全部都是CC，没有解密。 bin.dat并不是一个PE文件。 00000000h: 00 10 40 00 04 00 00 00 8B 4C 24 08 00 00 00 00 ; ..@.....婰$..... 00000010h: 00 00 00 00 00 00 00 00 85 3D E6 77 04 10 40 00 ; ........?鎤..@. 00000020h: 02 00 00 00 8B C1 30 36 00 00 00 00 00 00 00 00 ; ....嬃06........ 00000030h: 00 00 00 00 85 3D E6 77 06 10 40 00 03 00 00 00 ; ....?鎤..@..... 00000040h: 83 E8 02 39 00 00 00 00 00 00 00 00 00 00 00 00 ; 冭.9............ 00000050h: 85 3D E6 77 09 10 40 00 02 00 00 00 74 2E 30 42 ; ?鎤[EMAIL="..@.....t.0B"]..@.....t.0B[/EMAIL] 00000060h: 00 00 00 00 00 00 00 00 00 00 00 00 85 3D E6 77 ; ............?鎤可以看出bin.dat中的数据都是按28个字节一组进行组织的，其中蓝色的部分代表代码在wood.exe中的地址，红色部分代表代码的长度，紫色部分代表代码的字节数据，最后绿色的部分应该是一个结束标志。 struct CodeInfo { uint Address ; uint Length ; byte Code[16] ; uint EndFlag ; }; 有了这个数据结构和bin.dat中的数据，我们就可以自己动手写个小程序来完美解密wood.exe了。当然对于这个Crackme来说有点多此一举。感兴趣riijj是怎样生成这个bin.dat文件，主要是怎样判断每条语句长度的。上传的附件： wood.rar （16.42kb，7次下载） 2007-5-15 20:06 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 15 楼请教个关于imul的问题 B60B60B7 * 5 = 38E38E393 可是imul之后 EAX：8E38E393 EDX：FFFFFFFE 而 7FFFFFFF * 6 = 2FFFFFFFA imul之后 EAX：FFFFFFFA EDX：00000002 imul之后EDX值有什么规律没有？我看了关于imul指令的介绍依然没弄明白。 2007-5-15 20:47 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 16 楼数据结构也被解开了 hawking 兄很有耐心，分析很仔细 wood 是一块被挖空了的木头，现在你把那些也填回了，真正完美破解。这个 cm 的制作方法有点麻烦，在写这个 cm 前，先要写一些工具，再使用 OD 和工具一起补助，把 wood制造出来，也把核心弄成这个 structure样子 cm13 的引导程序，懂得把核心读取，在内存建立好一个指令索引。当引导程序执行 wood， wood 便产生密集的中断，引导程序便找出相应的指令，放到中断位置。 2007-5-16 08:30 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 17 楼找了一篇 Intel software manual --- Performs a signed multiplication of two operands. This instruction has three forms, depending on the number of operands. • One-operand form — This form is identical to that used by the MUL instruction. Here, the source operand (in a general-purpose register or memory location) is multiplied by the value in the AL, AX, EAX, or RAX register (depending on the operand size) and the product is stored in the AX, DX:AX, EDX:EAX, or RDX:RAX registers, respectively. • Two-operand form — With this form the destination operand (the first operand) is multiplied by the source operand (second operand). The destination operand is a general-purpose register and the source operand is an immediate value, a general-purpose register, or a memory location. The product is then stored in the destination operand location. • Three-operand form — This form requires a destination operand (the first operand) and two source operands (the second and the third operands). Here, the first source operand (which can be a general-purpose register or a memory location) is multiplied by the second source operand (an immediate value). The product is then stored in the destination operand (a general-purpose register). When an immediate value is used as an operand, it is sign-extended to the length of the destination operand format. The CF and OF flags are set when significant bit (including the sign bit) are carried into the upper half of the result. The CF and OF flags are cleared when the result (including the sign bit) fits exactly in the lower half of the result. The three forms of the IMUL instruction are similar in that the length of the product is calculated to twice the length of the operands. With the one-operand form, the product is stored exactly in the destination. With the two- and three- operand forms, however, the result is truncated to the length of the destination before it is stored in the destination register. Because of this truncation, the CF or OF flag should be tested to ensure that no significant bits are lost. 2007-5-16 09:31 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 18 楼非常经典的分析，学习了！ 2007-5-16 11:03 0
Wadic 雪币： 242 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	Wadic 19 楼太感谢楼主了!!! 2007-5-18 15:39 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 20 楼看不明白，以后再学习！！ 2007-5-26 09:33 0
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 21 楼只有看了白看的份，太高深了 2007-5-26 09:41 0
ahublue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 0 关注私信	ahublue 22 楼好多要学的,新手真的是有些害怕,还是顶下以后多练习练习! 顶 2007-5-26 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复